Насколько безопасна мобильная электронная подпись и где её применять

Насколько безопасна мобильная электронная подпись и где её применять

Насколько безопасна мобильная электронная подпись и где её применять

В очередном эфире телепроекта AM Live эксперты обсудили использование электронной подписи на смартфонах и планшетах. Где сейчас возможно её применять и насколько это безопасно?

 

 

 

 

 

 

 

  1. Введение
  2. Технология мобильной электронной подписи
    1. 2.1. Что такое электронная мобильная подпись и зачем она нужна
    2. 2.2. Способы хранения ключа
  3. Риски и преимущества мобильной электронной подписи
    1. 3.1. Хранение ключей
    2. 3.2. Безопасность мобильной ЭП
    3. 3.3. Риски при потере мобильного устройства
    4. 3.4. Плюсы использования мобильной ЭП
  4. Прогнозы развития мобильной ЭП
  5. Итоги эфира
  6. Выводы

Введение

Насколько безопасна мобильная электронная подпись? Какие риски возникают вследствие её использования и чем они нивелируются? Эксперты обсудили будущее рынка и области применения такой подписи.

 

Рисунок 1. Эксперты отрасли в эфире телепроекта AM Live

Эксперты отрасли в эфире телепроекта AM Live

 

Спикеры прямого эфира:

  • Дмитрий Горелов, коммерческий директор, компания «Актив»;
  • Станислав Смышляев, д. ф.-м. н., заместитель генерального директора, «КриптоПро»;
  • Антон Мелузов, заместитель генерального директора, «РТЛабс»;
  • Денис Калемберг, сооснователь и генеральный директор, SafeTech;
  • Дмитрий Гусев, заместитель генерального директора, «ИнфоТеКС».

Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».

 

 

Технология мобильной электронной подписи

Что такое электронная мобильная подпись и зачем она нужна

Сегодня технология мобильной электронной подписи становится массовой. По состоянию на конец октября 2023 года в России выдано 19 млн сертификатов квалифицированной электронной подписи (ЭП). Так что же такое мобильная ЭП?

Очень важно понимать, что ключ — это защищаемая информация, сертификат — это документ, который выдаёт удостоверяющий центр, подтверждающий владение ключом конкретным лицом, а сама электронная подпись связана с конкретным документом.

Дмитрий Гусев:

Термина «мобильная электронная подпись»нет. Есть дистанционная подпись. Это механизм, который должен быть у пользователя при себе и позволять ему, согласно закону, подписывать документы. Такая подпись признаётся наравне с собственноручной. Сервисов, которые предполагают электронную подпись, становится всё больше.

 

Дмитрий Гусев, заместитель генерального директора, «ИнфоТеКС»

Дмитрий Гусев, заместитель генерального директора, «ИнфоТеКС»

 

По словам Станислава Смышляева, дистанционная подпись — это одна из технологий, которая позволяет реализовать ЭП с помощью мобильного устройства. Такая подпись хранится на стороне сервера, а доступ к нему осуществляется при помощи средств криптографической защиты информации через мобильное устройство. Пользователю при этом не важно, где хранится его ключ. Ему необходимы быстрый доступ к нему и удобство в работе, отметил Смышляев.

Для бизнеса важно иметь своё приложение с мобильной подписью. Также для компаний важно, чтобы такая подпись соответствовала требованиям законодательства, добавил Денис Калемберг. По его словам, когда речь идёт о мобильной электронной подписи, сюда входят как квалифицированная подпись, так и неквалифицированная.

 

Денис Калемберг, сооснователь и генеральный директор, SafeTech

Денис Калемберг, сооснователь и генеральный директор, SafeTech

 

Для обычного пользователя универсальное приложение подходит больше, так как ему не нужно запоминать, на каком носителе и в каком приложении находятся ключи. Это играет важную роль при утере устройства или при компрометации доступа к нему. Не нужно отзывать разные сертификаты, отметил Антон Мелузов.

Способы хранения ключа

Дмитрий Горелов:

Механизмы хранения ключа можно разделить на распределённые (хранение на мобильном устройстве) или с использованием чужого носителя (например, NFC-карты). Теперь мы можем при помощи одного устройства применять электронную подпись как на компьютере, так и на мобильном устройстве. Это расширяет поле применения такой подписи.

Станислав Смышляев:

Есть технология, связанная с распределением доверия к ключу между устройством и сервером. Хранение ключа на сервере сопряжено с доверием к этому серверу. Альтернативный вариант это полное хранение ключа на телефоне. Однако вирус на устройстве может передать этот ключ третьим лицам. Решение, которое развивают российские вендоры, как раз состоит в распределении доверия, то есть на телефоне хранится та информация, которая позволяет формировать подпись, но её недостаточно и необходимо использовать ту информацию, которая хранится на сервере. Доступ к ней осуществляется через дополнительную аутентификацию, например в виде пароля. Можно также шифровать ключ на стороне сервера. В таких случаях безопасность ключа существенно увеличивается, а риски уменьшаются.

 

Станислав Смышляев, д. ф.-м. н., заместитель генерального директора, «КриптоПро»

Станислав Смышляев, д. ф.-м. н., заместитель генерального директора, «КриптоПро»

 

По данным опроса зрителей эфира, 33 % хотели бы подписывать документы электронной подписью на своём смартфоне. Уже пользуются такой опцией 32 % опрошенных. 20 % хотели бы ею воспользоваться, но сомневаются в её безопасности. Не видят необходимости в такой подписи для себя 10 % зрителей, 3 % не смогли ответить на этот вопрос. Оставшиеся 2 % считают электронную подпись с помощью смартфона слишком опасной.

 

Рисунок 2. Хотели бы вы подписывать документы электронной подписью на своём смартфоне?

Хотели бы вы подписывать документы электронной подписью на своём смартфоне

 

Риски и преимущества мобильной электронной подписи

Хранение ключей

Существуют правила по безопасности, которые вендоры обязаны соблюдать, отметил Дмитрий Гусев. Он пояснил, что по обыкновению ключ находится в контейнере (используется стандартный формат хранения данных для обмена ключами разных компаний). Вопросы безопасности ключей обостряются, когда разработчики берут криптобиблиотеки. Такие приложения редко проходят процедуру сертификации, и зачастую выясняется, что ключи хранятся в открытом доступе.

Разработчики должны применять такой подход, при котором ключи отторгаемы и неизвлекаемы. Тогда можно гарантировать пользователям безопасность.

Производители тратят огромное количество средств для того, чтобы пользователи не замечали, как всё работает (то есть чтобы им было удобно, быстро и безопасно), отметили эксперты.

По 30 % опрошенных считают самым приемлемым вариантом хранение ключей в специальном мобильном приложении (с заключением ФСБ России) и на токене или смарт-карте с NFC. 18 % ответили «на токене», а 10 % — «на сервере в облаке». 8 % не нашли для себя подходящего ответа, оставшиеся 4 % зрителей ответили «на SIM-карте (в отдалённой перспективе)».

 

Рисунок 3. Какой из вариантов хранения ключей ЭП является максимально приемлемым с точки зрения баланса между удобством и безопасностью?

Какой из вариантов хранения ключей ЭП является максимально приемлемым с точки зрения баланса между удобством и безопасностью

 

Безопасность мобильной ЭП

Важно отметить, что идентификация пользователя происходит в несколько этапов: проверка пароля для доступа к ключу, идентификация при получении сертификата и одобрение операции со стороны сервера, отметил Антон Мелузов. При этом технология Face ID на мобильном устройстве сводит риск его взлома практически к нулю.

Самое слабое звено электронной подписи — это пользователь, указал Денис Калемберг. Люди передают токены третьим лицам. При этом глобальных проблем с безопасностью нет, есть частные проблемы, которые регулярно решаются вендорами и регуляторами, заключили эксперты.

Как отметил Илья Шабанов, при использовании токена с NFC есть вероятность потери или кражи устройства. Эти риски можно нивелировать уникальным ПИН-кодом, а также исключением передачи своего токена третьим лицам.

 

Илья Шабанов, генеральный директор «АМ Медиа»

Илья Шабанов, генеральный директор «АМ Медиа»

 

Эксперты отметили, что риск компрометации финансовых операций при получении доступа с помощью СМС-кода гораздо больше, нежели при использовании электронной подписи. О таких случаях рынок, по крайней мере, не слышал.

Сейчас пользователи с помощью электронной подписи совершают больше всего операций именно с финансами и недвижимостью, отметил Денис Калемберг.

Дмитрий Гусев:

Если клиент использует сертифицированную подпись, то он может не задумываться о безопасности. Вендоры эти вопросы уже решили. Такие продукты выпускают «ИнфоТеКС» и другие российские компании.

По данным опроса зрителей AM Live, 29 % не готовы доверить мобильной электронной подписи операции с недвижимостью. По 10 % опрошенных не доверили бы ей доступ к госуслугам и к финансовым операциям, 9 % опасаются за медицинские данные. 27 % не готовы доверить ничто из вышеперечисленного. 15 % не нашли для себя подходящего ответа. 

 

Рисунок 4. Какие операции вы не готовы доверить мобильной электронной подписи?

Какие операции вы не готовы доверить мобильной электронной подписи

 

Риски при потере мобильного устройства

При потере или краже мобильного устройства пользователю в первую очередь необходимо отозвать свой сертификат на электронную подпись. Для того чтобы выполнить операцию на устройстве, злоумышленник должен знать пароль от ключевого контейнера, инициировать легальную процедуру подписания (знать пароль от «Госуслуг» при двухфакторной аутентификации), а также разблокировать само устройство.

Эксперты также акцентировали необходимость иметь разные пароли для устройств и сервисов.

По данным опроса зрителей AM Live, большую часть респондентов (41 %) пугает несанкционированный доступ к смартфону и ЭП. 21 % боится потери смартфона, 14 % опрошенных страшит потеря носителя с ключами ЭП, ещё столько же — клонирование смартфона или носителя ЭП. 6 % опасаются взлома смартфона. Оставшиеся 4 % выбрали «другое».

 

Рисунок 5. Какие ситуации вас больше всего пугают при использовании мобильной подписи?

Какие ситуации вас больше всего пугают при использовании мобильной подписи

 

Плюсы использования мобильной ЭП

По мнению Ильи Шабанова, основное преимущество электронной подписи — это её удобство. Операцию можно осуществлять с помощью смартфона, что позволяет подписывать документы откуда угодно: из такси, из дома, на улице и т. д. Ноутбук не даёт такой свободы.

Часто людей также волнует вопрос осуществления подписи при отсутствии сети или плохом соединении с интернетом. Проблемы здесь связаны не с самой подписью, а с визуализацией полного документа, который может состоять из множества страниц. Решения, позволяющие это сделать, есть, однако не все форматы можно визуализировать. Сейчас вендоры работают в этом направлении, отметил Станислав Смышляев.

Для половины зрителей при использовании сертифицированного мобильного приложения для работы с ЭП важна безопасность хранения ключей. 20 % отметили удобство использования, а 17 % — возможность мгновенной блокировки в случае утери устройства. 7 % опрошенных ответили «другое», а по 3 % отметили наличие всех необходимых государственных сертификатов и возможность применения при слабом сетевом соединении.

 

Рисунок 6. В случае использования сертифицированного мобильного приложения для работы с мобильной подписью что является для вас наиболее важным?

В случае использования сертифицированного мобильного приложения для работы с мобильной подписью что является для вас наиболее важным

 

Прогнозы развития мобильной ЭП

Антон Мелузов:

Технологии мобильной подписи сильно развились за последние несколько лет. Ранее их использовал ограниченный круг лиц, теперь это стало массовой практикой. Поэтому перспектива такова, что электронная подпись будет охватывать всё больше областей. Основные задачи ближайших лет это интеграция различных систем и решение вопроса о сертификации процесса, а не продукта.

 

Антон Мелузов, заместитель генерального директора, «РТЛабс»

Антон Мелузов, заместитель генерального директора, «РТЛабс»

 

Денис Калемберг:

Для нас сейчас самое перспективное направление использования мобильной электронной подписи это замена устаревших, небезопасных способов совершения банковских транзакций. Это касается банковских, брокерских и микрокредитных организаций. Поле для мошенничества, которое создаётся устаревшими технологиями, очень большое, на него сейчас направлено пристальное внимание регулятора. Поэтому мы видим большие перспективы именно в этом сегменте. Будет развиваться и применение подписи в классическом электронном документообороте.

Дмитрий Горелов:

Я вижу развитие применения мобильной электронной подписи в энергетике, а также создание универсальных подписей. Наша задача — расширить поле применения такой подписи и сделать работу этих механизмов лёгкой и быстрой.

 

Дмитрий Горелов, коммерческий директор, компания «Актив»

Дмитрий Горелов, коммерческий директор, компания «Актив»

 

Дмитрий Гусев:

Мы как вендоры для себя видим в первую очередь такую важную задачу, как снижение порога вхождения прикладных разработчиков в тематику электронной подписи. Мы хотим, чтобы разработчики не боялись использовать криптографические средства и работали с ними легко.

Станислав Смышляев:

Мы продолжим повышать безопасность ключей электронной подписи мобильных устройств. Мы также много работаем в направлении бесшовного перехода с устаревших технологий на электронную подпись.

Итоги эфира

По результатам финального опроса зрителей, 41 % решил тестировать и использовать мобильную электронную подпись. 33 % убедились в их полезности и безопасности. При этом 13 % респондентов всё же не поверили в эффективность такого инструмента, а 8 % посчитали его для себя пока избыточным. 5 % опрошенных не поняли темы дискуссии.

 

Рисунок 7. Что вы думаете о мобильной электронной подписи после эфира?

Что вы думаете о мобильной электронной подписи после эфира

 

Выводы

Технология мобильной электронной подписи стала массовой. Многих пользователей волнуют вопросы безопасности этого инструмента. Вендоры совместно с регуляторами много работают в этом направлении, закрывая весь спектр проблем. Самым слабым звеном мобильной ЭП пока остаётся человек из-за рисков передачи ключа или устройства третьим лицам. Остальное нивелируется вендорами. Поэтому эксперты советуют ни в коем случае не передавать ни свои устройства, ни ключи, а также устанавливать разные пароли на разные сервисы.

Мобильная ЭП будет развиваться, охватывая всё больше областей, а значит, станет ещё удобнее и безопаснее.

Телепроект AM Live совсем скоро вновь соберёт экспертов отрасли в студии, чтобы обсудить актуальные темы российского рынка информационной безопасности. Будьте в курсе трендов и важных событий. Для этого подпишитесь на нашYouTube-канал. До новых встреч!

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru